k1llZxwGRf.jpg

Анонимный FTP-доступ

Если в системе установлен пакет anonymous ftp, анонимный FTP-доступ возможен сразу после загрузки системы и разрешения взаимодействия по сети. Для работы анонимного FTP-сервера необходимо, чтобы в системе присутствовала учетная запись ftp. В соответствующей строке файла /etc/passwd в поле пароля должен быть указан символ «». В качестве рабочего каталога для учетной записи ftp необходимо указать каталог /home/ftp, а вместо оболочки, используемой по умолчанию, — /bin/false.

Анонимные пользователи действуют с правами, соответствующими учетной записи ftp. Как только демон inetd запускает сервер ftpd и анонимный пользователь начинает FTP-сеанс, автоматически выполняется chroot, и область файловой системы, доступная пользователю, ограничивается подкаталогами каталога /home/ftp.


Кроме мер, непосредственно направленных на настройку сервера, необходимо тщательно проверить содержимое, принадлежность и права доступа каталога /home/ftp. Неправильно выполненные установки FTP-области могут стать лазейкой для незаконного проникновения в систему.

Каталог /home/ftp и его подкаталоги не должны принадлежать ни пользователю ftp, ни группе, в которую он входит. Владельцем этих каталогов должен быть root или другой пользователь с правами администратора. Право записывать данные в /home/ftp и подкаталоги данного каталога должен иметь лишь их владелец.

В каталоге /home/ftp, предназначенном для использования анонимным FTP-сервером, должны существовать следующие четыре подкаталога bin, etc, lib и pub. Так как анонимный FTP-сервер выполняется в среде chroot, файлы, используемые при работе сервера, которые обычно располагаются в каталогах /bin, /etc и /lib, должны быть скопированы в соответствующие подкаталоги каталога /home/ftp. Для каталогов /home/ftp/bin, /home/ftp/etc и /home/ftp/lib необходимо изменить принадлежность группе и права доступа.

 /home/ftp/bin — в этом каталоге должны содержаться копии исполняемых программ, которые используются для поддержки команд ls, cd и для сжатия файлов. Право запускать на выполнение файлы, содержащиеся в этом каталоге, должен иметь любой пользователь. Чтение и запись данных файлов должны быть запрещены для всех. Таким образом, для каталога bin и всех содержащихся в нем файлов необходимо выполнить команду chmod 0111.

 /home/ftp/etc — в данном каталоге должна находиться локальная копия файла id.so.cache с информацией о динамически загружаемых библиотеках. Право записывать информацию в этот файл имеет лишь пользователь root, но для чтения данный файл должен быть доступен всем. В каталог etc необходимо также записать ложные копии файлов /etc/passwd и /etc/group. В этих файлах должна содержаться минимальная информация о владельцах файлов, находящихся в области файловой системы, которая используется анонимным FTP-сервером (как правило, это учетные записи root и ftp). Ни при каких обстоятельствах в файле /home/ftp/etc/passwd не должна содержаться информация о паролях. В поля паролей необходимо записать символы «». Файлы passwd и group должны быть доступны для чтения всем пользователям, а правом записывать информацию в них не должен обладать никто. Для каталога etc необходимо установить права, разрешающие всем пользователям просматривать его содержимое, но запрещающее чтение или запись. Таким образом, для каталога etc необходимо выполнить команду chmod 0111.

 /home/ftp/lib — содержит копии динамических библиотек, необходимых для работы FTP-сервера. Для каталога lib и его подкаталогов должны быть установлены биты, разрешающие просмотр содержимого, а также признаки, допускающие чтение данных. Запись информации должна быть запрещена. Следовательно, для lib и его подкаталогов необходимо выполнить команду chmod 0555.

 /home/ftp/pub — этот каталог представляет собой верхний уровень поддерева, предназначенного для публикации общедоступных данных. Как и в предыдущем случае, для каталога pub и его подкаталогов необходимо установить признаки, разрешающие просмотр содержимого и чтение данных. Запись должна быть запрещена для всех подкаталогов. Это можно сделать, выполнив команду chmod 0555. Для файлов, содержащихся в pub, необходимо установить только признак, разрешающий чтение, выполнив для этого команду chmod 0444.

Опубликовано в Разное
/
12 Окт 2014